Der Kartenbörsen-Hack

Viele von uns haben von diesen tollen kleinen Taschen, die entweder hauptsächlich als oder zusätzlich zum Portmonnaie verwendet werden. Heutzutage ist ja alles nurnoch Plastik, im sogenannten ID-1 Format, die der ISO/IEC 7810 Standard bestimmt und normt. Man kommt heute nicht mehr mit einer einfachen EC-Karte oder Krankenkassenkarte aus. Kundenkarten, Loyalty Karten, Punktekarten, Auto-Clubkarten, Versicherungskarten, Bonuskarten, Identitätskarten …BlaBla-Karten. Die wichtigste Karte der Frauen nicht vergessen: die PayBack Karte 😀 Wir leben mit Plastik, zahlen mit Plastik, wickeln mit Plastik alles ab. Das nutzt das Bankensystem aus und begründet die Idee der Abschaffung von Bargeld. Na klar, noch transparenter geht es nicht und wenn ihr erstmal unser aller bestes vollkommen besitzt, dann macht ihr mit uns was euch gerade recht ist. Nein danke! Für wie blöd werden wir eigentlich gehalten?

Was die ganzen Karten betrifft, ist es umso schöner, wenn wir eine Tasche haben, die unsere doch so vielen wichtigen Karten beherbergt und wir zur richtigen Zeit am richtigen Ort die passende Karte aus unserem Taschenregister herauszücken und dann herausrücken.

So sehr jedoch diese Taschen selbst oft aus echtem Leder oder auch Kunstleder gebaut sind, sind die einzelnen Kartenregister selbst aus einfachem, transparenten PVC/Laminat oder anderen Kunststoffen produziert, die zum einen die notwendige Flexibilität und Transparenz bieten sollen, zum anderen platzsparend möglichst viele Karten aufnehmen sollen. Leider ist es so, dass bei häufiger Nutzung dieser Taschen, entsprechende Registerblätter dann irgendwann durch Materialermüdung reissen und ersetzt werden müssen. Dabei bieten solche Taschen der qualitativ höheren Varianten meist die Möglichkeit, die aus Kunststoff gefertigten Innentaschen (Register) auszutauschen. Sehr praktisch, wer will schon die gute und sinnvolle Lederkartentasche wegschmeissen, nur weil die Kunststoffregister ermüden.

Es ist zwar manchmal mühsam rauszufinden, wo man diese neuen Register, hoffentlich auch passend zur eigenen Tasche finden und kaufen kann. Aber eine kurze Suche im WWW spuckt auch schon die Möglichkeiten aus. Denn nicht jedes Geschäft führt solche Ersatzteile auch im Sortiment.

Schnell ein neues Register geordert oder doch im Laden gekauft, will man dann auch schon das alte loswerden. Oft reissen die verschweissten Kanten eines jeden Kartenfachs nach wenigem Rein- und Rausschieben, verkanten sich, knicken und sind dann verformt. Hat man sich ein neues Register gekauft, will man es auch gleich in die Tasche einbauen. Das ist dann auch mal ein Grund, über alle Karten drüber zu gehen und zu schauen, ob man denn noch eine bestimmte Karte braucht, oder sortiert alle Karten nach der Häufigkeit ihrer Nutzung oder nach ihrer Art neu. Oh, ich habe noch eine Mitgliedskarte bei der Videothek, die es schon seid 10 Jahren nicht mehr gibt und sich in den ehemaligen Räumen nun ein Hochzeitsmodegeschäft befindet. Wer will schon heutzutage noch heiraten? Wer leiht sich heutzutage denn noch eine Videokasette – schallt es zurück?

Wir sind zu einer Konsum- und Wegwerfgesellschaft mutiert. So schnelllebig unser Konsum geworden ist, so qualitativ niederwertig sind auch unsere Konsumgüter im Laufe der Jahre geworden. Das alles hat ein System. Günstig kaufen, nutzen bis ausgelutscht, wegwerfen und wieder neu kaufen. Die Halbwertszeit von Produkten jeglicher Art ist drastisch gesunken. Mein Kontostand proportional auch.

Dennoch werfen viele Menschen etwas, was sie nicht mehr für brauchbar halten, mal eben schnell weg. Auf das zerrissene, geknickte, verdreckte Register der Kartenbörse. In Deutschland würde dieses Stück Plastik in den sogenannten gelben Säcken landen. In der Schweiz in der heimischen Restmülltonne oder in den Müllkontainern der Tankstellen oder Raststätten. Wer sich das neumodische Hobby zum Mülltaucher angeeignet und daran Freude gefunden hat, der findet neben weggeworfenen Pfandflaschen, unsachgemäss entsorgten chemischen Stoffen oder Elektronikkonsumgütern, mit ein wenig Glück auch solche Plastikkarten-Innenregister. Ich warte schon gespannt darauf, bis dieses Hobby zum Beruf erklärt wird, wenn die wirtschaftliche Armut der Menschheit weiter steigt und wir immer mehr Müll produzieren, wo drunter sich auch massenweise, noch völlig geniessbare Lebensmittel befinden, Tag für Tag.

Nun, ich muss gestehen dass ich viele Hobbies habe, aber dieses Hobby noch nicht praktizieren konnte, obwohl ich auch hierbei eine Analogie zur Social Engineering Methodik „Dumpster Diving“, dem Mülltauchen sehe. Ein klasse Hobby, mit Spiel, Spass und Spannung.

Auch ich entsorge mein Müll auf Raststätten, wenn ich einmal auf den überfüllten Autobahnen mit recht aggresiven Autofahrern in diesen rollenden Blechlawinen mitschwimmen muss. Nein, ich nehme meinen heimischen Müll nicht mit, sondern entsorge vielleicht mal eine Verpackung vom Eis, welches ich an der Raststätte zwecks Nervennahrung als Beruhigungsmassnahme zu diesen Idioten alias „Autofahrer“ zu mir nehme. Ich schaue dann auch mal gerne in die Tonne rein um zu sehen und es mir immer wieder zu verinnerlichen, wie unbesorgt und in welcher Menge wir unser Müll produzieren und sammeln. Zum glück werden diese Mülberge auf den Raststätten täglich oder zumindest regelmässig abgeholt. Sonst würden die Raststätten zu Müllstätten mutieren. Vielleicht wäre es ja zwecks Statuierung eines Exempels garnicht mal sooo schlecht, denn Müll wochenlang stehen zu lassen.

Bei solch einer Aktion des Wegschmeissens der Verpackung meiner Nervennahrung, wurde ich eines Tages aufmerksam auf ein Stück Müll. es war tatsächlich solch ein Register, welches auf der Raststätte entsorgt wurde. Da der schon Kontainer relativ voll war, ging ich davon aus, dass dieses Teil erst kürzlich entsorgt wurde. Mit einem einfachen Griff in den Kontainer, habe ich meine Verpackung gegen dieses Register ausgetauscht. Ich bin voll sozial dachte ich mir. Müll gegen Müll. Ob es schon eine Mülltauschbörse im Internet gibt? Vielleicht ist das eine Marktlücke. Tausche 5 Kg giftige Batterien gegen gut erhaltene Altkleider.

Irgendwann von dieser Stress und damit auch Aggressionshormon produzierenden Fahrt zuhause angekommen, schaue ich mir das Teil einmal genauer an. Mich interessiert es nicht etwa, wie abgenutzt das Teil ist, wie dreckig es ist (ich bin Generation X, wir haben damals noch mit Blei verseuchten Spielzeugen im Mund gespielt) oder ob da noch irgendwelche Kundenkarten drin sind, die womöglich noch mit irgendwelchen Punkten bestückt sind, die ich nutzen könnte. Dass dieses Punktesystem ebenfalls eine reine Masche und nicht für sondern gegen den Kunden erfunden wurde, brauche ich hoffentlich nicht zu erklären. Die Industrie will immer nur unser aller bestes, unser Geld. Sie erfindet deswegen auch die besten Systeme, um uns zu noch mehr Konsum zu bewegen.

Mich interessiert an dieser Stelle die habtischen Überbleibsel von Kreditkarten bzw. deren Hochprägungen. Damit die Kreditkartengesellschaften von unserem Konsum auch profitieren können, machen sie uns Ottonormalverbrauchern auch gerne mal das Leben leicht und „helfen“ uns dabei eine Kreditkarte zu sehr günstigen Konditionen oder gar Freihaus zu erwerben. ich fühle mich rundum wohl, denn dieses System will mir immer helfen, in dem sie mir eine kostenlose Kreditkarte zur Verfügung stellt, mir mit ihrem PayBack-System was (teilweise)schenkt, ich dafür aber was neues kaufen muss….

Da die Wahrscheinlichkeit, dass mein Kartenbörsenregister-Spender, mit dem ich ohne sein Wissen mein Müll gegen seins ausgetauscht habe, ebenfalls im Besitz einer Kreditkarte ist, ist Anbetracht der zuvor geschilderten Tatsachen relativ hoch. Et Voila! Da haben wir auch schon die Passage im Register, wo der ehemalige Besitzer des Registers und der darin zuvor abgelegten Kreditkarte seine Abdrücke durch die Hochprägung der Karte hinterlassen hat.

Eine Kreditkarte ist nie unendlich gültig. Auf ihr sind neben der Kartennummer und dem Inhabernamen auch das Verfallsdatum hochgeprägt. Das hat einen historischen Grund. Früher und vereinzelt auch sogar heute und überwiegend noch in den Provinzen in den USA werden sogenannte Ritsch-Ratsch Kartenlesegeräte immernoch eingesetzt. Bevor die globale Vernetzung der Bezahl-Transakionssysteme so weit vorangeschritten war, hat der Verkäufer die Kartendaten des Konsumenten mit einer „Carbon Copy“ über diese RitschRatsch Geräte entgegen genommen und über die Hausbank die Belastung des Kontos des Konsumenten veranlasst. Die Hochprägung ist heutzutage im Grunde völlig überflüssig, wird jedoch wegen der Unflexibilität der Normen, der Bezahlsysteme und der Kartenhersteller weiterhin angewendet.

Ein Konsument ist ebenfalls unflexibel. Wir alle sind es. Wir gehen unterbewusst noch unseren Gewohnheiten, unserem System, unserer Bräuche und bauen uns tägliche Automatismen ein. So landet eine Karte in der Regel immer im gleichen Registerfach, wie sie einmal eingeordnet wurde, damit man sie im schnellen und stressigen Zeitalter, wo Kunde und Kassierer keine ausreichende Zeit haben, auch schnell findet und so schnell wie möglich weiter geht. Dabei dauert eine Barzahlung an der Kasse nicht langsamer als eine Zahlung per Debitkarte, wenn der Kassierer mit Bargeld geübt ist und den Restbetrag rauf, statt runter zählt.

Was das Verfallsdatum betrifft, so senden die Banken dem Kunden seine neue Karte mit dem neuen Verfallsdatum natürlich immer rechtzeitig zu, damit der Kunde zwischen Dem Verfall seiner noch aktuellen Karte und dem Empfang seiner neuen Karte nicht warten muss. Das Verfallsdatum ist dabei auf Jahre betrachtet immer fortlaufend. Wenn also eine Kreditkarte in Februar 2016 abgelaufen ist, dann fängt die neue Karte auch mit Februar an und ist meist 3 oder 5 Jahre gültig. Corporate Cards oder Firmenkreditkarten können aus unterschiedlichen Gründen auch mal nur 3 Jahre gültig sein, während private Kreditkarten mittlerweile meist 5 Jahre gültig sind. Die Kreditkartenummer einer neu zugesandten Kreditkarte ändert sich jedoch für den Verbraucher nicht. Die Kartennummer ist mit dem Bankkonto des Konsumenten gekoppelt und wird auf die neue Karte, welche die abgelaufene Karte ersetzen soll, gleichermassen geprägt und aufgedruckt. In meinem Fall habe ich Glück, denn die Spuren der Kreditkarte, die einmal in einer Folie des Registers Platz fand, ist noch gültig. Ich kann das Jahr des Ablaufdatums erkennen. Den Monat hingegen eher schlecht. Ich muss visuelle und chemische Tricks anwenden, um die Reste der Prägung und der Ablagerung besser zu erkennen. Ablagerung deswegen, weil die Kreditkarten Prägeinformationen je nach Kartentyp mit einer speziellen Farbfolie, nach ihrer Hochprägung dann nochmal beschichtet werden, diese Farbschicht jedoch auf Dauer nicht mehr auf den ca. ein Millimeter breiten Hochprägungsflächen haften bleibt und insbesondere in solch einem Laminatregister sich auf die Folie abscheuert. Das hilft mir ggf. die nicht mehr so ganz klar erkennbaren Nummern vielleicht doch noch zu identifizieren. Andernfalls müsste ich sie nachberechnen, was auch kein Problem wäre, aber unter Umständen ich doch noch eine andere Kreditkartennummer berechnen würde, als diese hier, die ja echt und gültig ist.

Hmm, einpaar Nummern auf der Prägung sind nicht mehr so gut zu erkennen. Ich kann an manchen Stellen zwischen der Zahl 5, einer 6 und der Zahl 8 nicht mehr so genau unterscheiden. Das liegt an der Schriftart dieser Karte. Aber ich habe dennoch Glück. Ich erkenne die vollständige BIN Nummer und die Prüfziffer der Karte (die letzte Stelle) sowie weitere, eindeutig erkennbare Zahlen aus der eigentlichen „Account Number“ der Karte, welche immer zwischen der BIN (BANK IDENTIFICATION NUMBER: Die ersten 6 Stellen einer Kreditkarte) und der Prüfziffer (Immer die letzte Stelle).

Da eine Kreditkartennummer ebenfalls genormt ist und nach der sogenannten LUHN 10 Formel berechnet und validiert werden kann, ist es kein Problem die wenigen Zahlen nachzuberechnen, die nicht mehr so gut in der Prägung des gefundenen Registers zu erkennen sind. Ich muss von den mir bereits bekannten Nummern ausgehend, nurnoch die fehlenden 1 bis 2 Nummern durchprobierend meinem Prüfprogramm übergeben um zu sehen, ob ich ein TRUE, also „Ist eine nach Luhn10 gültige Nummer“, oder ein FALSE, also keine gültige Nummer bekomme. Wenn dann die Zahlen, die ich durchprobieren muss, visuell der nicht mehr erkennbaren Zahlen auf der Prägung ähnlich sind, dann ist es mit Sicherheit die richtige Kartennummer. Aber hier hat der Begriff „mit Sicherheit“ spätestens jetzt eine andere Bedeutung.

Das Problem ist nicht die Kartennummer selbst, sondern die heute noch immer unsicheren Methoden, wie diese Karte bzw. die Nummer zum Einsatz kommt. Ein böswilliger Betrüger könnte mit den gewonnenen Informationen eine solche Karte nachbilden. Es ist heute kein Problem mehr als Endverbraucher Kartenhochprägungsgeräte zu sehr günstigen Preisen zu kaufen. Es gibt Karten-Laser-Drucker, die die Karten so gut beschichten, dass sie kaum noch mit echten Kreditkarten unterschieden werden können. Eine sogenannte White-Plastik, bereits mit einem Magnetstreifen versehen kann man sich ebenfalls auf dem legalen Weg kaufen. Die Kartenhersteller und Personalisierer erfinden das Rad hierbei nicht neu. Für spezielle Karten nutzen sie oftmals handelsübliche Druck-Geräte, die jedermann im Drucker-Shop erwerben kann. Mit solch einer nachgebauten Kreditkarte inkl. den gedruckten Logos und der „ge-fakten“ Sicherheitsmerkmale, wird ein Händler kaum in der Lage sein die Echtheit meiner Karte zu überprüfen, wenn er ohnehin noch ein Ritsch-Ratsch Gerät im Einsatz hat und erstmal an die Daten der Karte interessiert ist, nicht an der Drucktechnik. Insbesondere dann nicht, wenn er eine ausländische Karte in der Hand hält. Zuletzt musste ich 2009 in München bei einem alten Herren, einem Taxi-Fahrer auf diese Weise bezahlen, weil sein Terminal im Taxi defekt war und ich nicht ausreichend Bargeld bei mir hatte.

Man meint, ohne die dazugehörigen Prüffziffern einer Karte, wie die CVC oder CVC2 Codes (letztere auf der Karte einer VISA oder MasterCard neben dem Unterschriftenfeld als 3 stellige Zahl aufgedruckt), solch eine Transaktion garnicht auslösen könnte, geschweige denn ohne die dazugehörige PIN Nummer zu nutzen. Tja, es geht und ist immernoch möglich. Denn die Sicherheitsmerkmale dienen in erster zum Schutz des Inhabers und dann des Verkäufers. Sind beide sich jedoch einig, dass sie einen Kauf über die Karte abwickeln wollen, dann benötigt der Käufer nur noch die Angaben auf der Kreditkarte, jedoch nicht in der Kreditkarte, z.B. auf dem Chip oder dem Magnetstreifen, wobei bis auf den Servicecode der Karte sowie des CVC Codes und des PIN Blocks man eh nicht mehr erwarten darf. Alles andere ist ja bereits hoch geprägt.

Ich will es aber wirklich wissen, ob es tatsächlich möglich ist, eine Kreditkarte bzw. ein Bankkonto auf diesem Weg zu missbrauchen. Ist es tatsächlich so einfach eine Transaktion auszulösen oder ein Geschäft abzuwickeln, ohne dass ich je die Karte meines Müll-Tausch-Partners in der Hand hatte, oder zumindest seine CVC2 Nummer kenne, die ich bräuchte, wenn ich im Internet, z.B. bei Amazon ein Buch oder bei Flug.de ein Ticket kaufen wollte?

Bitte nicht erschrecken, aber es geht. Denn heute sitzen Händler und Prozessoren alle im Transaktionsnetzwerk und müssen nicht die Genehmigung des Karteninhabers haben, um eine Transaktion anzustossen. Man benötigt lediglich die PAN, also Primary Account Number, die Kreditkartennummer also. Dazu gesellen sich dann noch der Inhabername und das Verfallsdatum, um die erste Überprüfung zu machen, ob die Karte denn noch gültig ist. Wenn also all diese zusätzlichen Prüfnummern nicht zwecks Sicherheit und Erkennung von Betrugsversuchen abgefragt werden, dann werden sie auch nicht zum Auslösen einer Transaktion eingesetzt. Bein einem Ritsch-Ratsch Gerät sind bis auf die Unterschrift des Karteninhabers solche Sicherheitsmerkmale ohnehin sinnlos und bei einer nachträglich gedruckten Kreditkarte mit gestohlenen Daten kann man die Unterschrift ohnehin fälschen. Obwohl selbst das Unterschriftenfeld, also dieses Klebestreifen als eine Art Sicherheitsmerkmal gilt und nicht von jedem Hersteller an die Kartenproduzenten verkauft werden dürfen, prüft kaum jemand, ob dieses Klebestreifen denn auch eine echte ist, oder lediglich ein Aufkleber, worauf man seine Unterschrift aufbringen kann.

Das gesamte Kreditkartensystem ist veraltet, bedenkt man, dass die Kreditkarte selbst ca. in den 50’ern erfunden und seither in ihren Details und Funktionen diverse Updates erfahren hat, nicht jedoch in ihrem System. Aber bisher sind es ja alles theoretische Vorstellungen davon, auf wie vielen Wegen eine Kreditkarte missbraucht werden könnte, ohne dass ich die Karte aus der Kartenbörse meines Müll-Tausch-Partners samt ihren Sicherheitsprüfziffern gesehen habe und sie auch sehen werde.

Ich möchte es drauf ankommen lassen und wissen, ob diese Theorien auch in die Praxis umgewandelt werden können. Mal sehen was ich alles habe. Ich habe eine höchstwahrscheinlich gültige PAN, das dazugehörige Verfallsdatum und sogar den Namen des Karteninhabers aus dem Müll gefischt, also ich meine, mit ihm getauscht. Ob er auch an meinem Müll interessiert ist, weiss ich nicht. Ich denke er hat sich bei der nächsten Raststätte eher ein neues Eis gegönnt. Aber was auch immer er jetzt so treibt, ich werde mal seine Kreditkartennummer benutzen, die er mir grosszügig in der Tonne hinterlassen hat, gegen eine Eisverpackung. Es ist ein äusserst grosszügiger Mensch dieser Müll-Tauscher, gibt es heutzutage sehr selten sowas.

Aus meiner Erfahrung heraus, weiss ich, dass z.B. Hotels für eine verbindliche Reservierung eines Zimmers, welches auch bequem am Telefon getätigt werden kann, lediglich nach der PAN und dem Verfallsdatum verlangen. Das ist für das Hotel im Falle eines Nichterscheinens des Gastes, dem sogenannten „No Show“ die Garantie, den Kunden dennoch mit den Kosten zu belasten, falls dieser praktisch nicht erscheint und das Zimmer zumindest für die erste Nacht nicht mehr vermittelbar ist. Wenn man das Zimmer nimmt, also erscheint, muss man zwar dennoch mit der Karte Vorort am Terminal bezahlen, aber für die verbindliche Reservierung reicht die Bekanntgabe der PAN aus. Denn wenn der Kunde nicht erscheint, wird Anhand der PAN das Konto des Kunden belastet, und das ohne eine PIN oder Prüfziffer.

Ich suche im WWW also nach einem passenden Hotel. Meine Suchkriterien sind einfach: Ein mittleres bis kleineres Hotel, möglichst keine Kette, im deutschsprachigen Ausland, am besten Österreich. Nachdem ich die Kontaktdaten des Hotels ausgemacht habe, rufe ich dort an, um einen 3 tägigen Aufenthalt anzukündigen und weise mich mit dem Namen meines Müll-Spenders aus. Prima, ich habe Glück und es sind noch ausreichend Zimmer für mich frei. Ich hätte gerne das beste Zimmer, eine Suite wenn es geht. Ich komme noch mit einer Dame, deren Namen ich mir aus den üblichen Namen aus dem Ostblock zusammen reime. Ich gebe noch schnell meine Anschrift (natürlich eine fiktive) an und werde am Ende nach der PAN gefragt. Nachdem ich jetzt endlich die Daten des geschenkten Gauls angegeben habe, ist das Telefonat auch schon fast fertig. Ich bitte vorsichtshalber noch um eine Bestätigung der Reservierung per Email. Hierzu nenne ich der netten Dame natürlich einer meiner entbehrlichen Emailadressen, welches nicht auf mich zurück geführt werden kann, zumindest nicht so einfach, ohne die Mithilfe des Email-Providers. Mein Müll-Spender-Partner wird wahrscheinlich am Ende des Monats richtig richtig sauer sein, wenn er in seiner Kreditkartenabrechnung erkennt, dass er in Österreich auf meine Initiative hin hätte Urlaub machen können, es aber versäumt hat, anzutreten. Und wenn er noch verheiratet ist und seine Frau das sieht, und dann erstmal das Hotel angerufen wird, dann wird das Hotel noch den Namen meiner Ostblock-Freundin als zweiten Gast nennen. Von diesem Zeitpunkt an, wird die Ehe meines unbekannten Partners auf Probe gestellt.

Aber noch bevor all dieses Desaster eintritt, nutze ich mein kostenloses Stornierungsrecht und rufe nocheinmal bei diesem Hotel zwecks Stornierung des ganzen an, natürlich mit dem Ausdruck des Bedauerns, dass ich diesmal kein Gast in diesem Hotel sein kann.

Nicht nur telefonisch klappen diese Maschen. Es gibt im Internet noch unzählige Online-Shops, die eine ausgibige Prüfung einer Kreditkarte nicht durchziehen. Selbst eine erfundene, und der Karte nicht passende CVC2 Nummer schlägt manchmal beim Bezahlvorgang NICHT fehl und wird einfach akzeptiert. Das kann zwei Gründe haben.

Entweder arbeiten die Online-Shop nicht mit „Wallets“ ihres Payment Gateways, der in der Regel nach dem Layout des Shop Betreibers die Bezahlseite für den Betreiber aufschaltet, sondern implementieren ihre eigene Bezahlseite und nutzen zum Auslösen der Transaktion lediglich die Schnittstellen zu ihrem Payment Gateway. Einige Shop Betreiber können dann im Vorfeld nur prüfen, ob die eingegebene Kreditkartennummer eine nach der LUHN10 Formel gültige Nummer darstellt und das Verfallsdatum noch in der Zukunft liegt. Das dabei ein Feld zur Eingabe einer CVC2 Nummer angeboten wird, ist rein obligatorisch.

Oder der Online-Shop arbeitet mit Batch-Processing. Dabei werden die Bezahlinformationen ersteinmal gesammelt und zu einem bestimmen Zeitpunkt werden dann die Transaktionen ausgeführt. Es findet hierbei ebenfalls nur eine lokale Überprüfung im Vorfeld statt, bis die Bank, bei der die Transaktion ausgelöst wird, meldet, dass es sich hierbei um eine gefälschte Nummer handelt. Wenn die Ware dann nicht schon unterwegs ist, kann man den Vorgang zugunsten des Händlers stoppen. Es gibt unzählige Shops im Netz, in denen man ohne „Card Not Present“ Prüfungen shoppen kann. Ansonsten wird mein Freund zum Monatsende merken, dass ich auf seine Kosten für meine Ostblock-Freundin teuren Schmuck bestellt habe. Huuiiii, schon wieder Ärger mit der Frau!

Ich stelle das ganze bei einer weniger bekannten, ausländischen Fluggesellschaft auf Probe, bei der ich mir ein Ticket für einen sehr kurzfristigen Flug buchen will. Ich habe es bei einer anderen, namhaften Fluggesellschaft erlebt, dass dessen Webseiten ebenfalls die erforderlichen Prüfungen überspringen und auch dann eine Buchung akzeptieren, selbst wenn die CVC2 Nummer eine völlig ausgedachte dreistellige Nummer ist. Diesen Trick möchte ich nun für einen Flug bei einer anderen Gesellschaft anwenden und gebe meine Daten in die Maske auf der Buchungswebseite der Fluggesellschaft ein. Diesmal will mein Freund ohne dass es seine Frau erfahren soll nämlich nach Kiev fliegen. Also was sollen all diese Aktionen hinterrücks??? Erst das Hotel, dann der Schmuck und nun der Besuch? Am besten man sollte ehrlich sein und der Frau einfach gestehen, dass man eine Affaire hat, mit einer jüngeren und hübschen aber wohl armen Ostblock-Dame. Es bringt auf dauer nix all das zu verschweigen. Die Kreditkartenabrechnung lügt nicht.

Es dauert keine 3 Minuten, bis die Flugbestätigung in meinem Postfach landet. Natürlich behalten sich die Fluggesellschaften vor, die Reservierung bei Nichtbezahlung wieder zu stornieren. Aber die Nummer ist ja echt, der Name und das Verfallsdatum auch. Dass die CVC2 Nummer nicht überprüft werden konnte oder ich vielleicht sogar bei einer Wahrscheinlichkeit von 1 zu 999 die richtige Nummer ausgedacht habe, ist ebenfalls denkbar. Im Grunde ist die CVC2 Nummer auch keine Prüfnummer, sondern lediglich ein Sicherheitsmerkmal für „CARD NOT PRESENT“ Transaktionen, worin der Händler die Gewissheit haben soll, dass der Kunde, der vor dem Bildschirm sitzt, auch wirklich genau diese Kreditkarte in der Hand hält. Wenn also auch die CVC2 Nummer zusammen mit den restlichen Kreditkartendaten entwendet und missbraucht werden, kann kein Händler im Internet mehr feststellen, ob der Käufer denn auch wirklich die Karte in der Hand hält, während er sein Ticket nach Kiev zu seiner Freundin kauft.

Ich könnte noch stundenlang über die Unsicherheiten der Kreditkarten und über die Gründe erzählen und weitere mehrere Gründe nennen, warum diese Technik völlig veraltet sowie absolut unsicher ist, warum die Kreditkartenwirtschaft historisch bedingt völlig unflexibel ist die Sicherheit der Karten wie wir sie heute kennen, selbst zu erhöhen. Die Transaktionswelt ist historisch gewachsen und die darin eingesetzten Technologien, Kommunikationsprotokolle und Spezifikationen sind so ziemlich starr und einfach gehalten.Stattdessen versucht die Kreditkartenbranche durch Compliance-Massnahmen die Sicherheit drumherum, also um die Kreditkarte selbst herum zu bauen, mit massiven Kosten, welche von den Akzeptanzstellen, von Prozessoren und Service Providern getragen werden müssen. Dass dabei die Banken selbst sich nicht zu mehr Karten-Sicherheit durch Erfüllung dieser Umgebungssicherung verpflichten lassen wollen, sei nur am Rande erwähnt. (wer sich dafür interessiert: Sicherheitsstandards des PCI SSC),

Es ist zwar ziemlich sicher, dass man eine Kreditkarte nicht so einfach fälschen kann um damit am Geldautomaten Geld abzuheben, aber solange ich den Chip nicht benötige, die Prägungen auf der Karte sowie die Daten im Magnetstreifen missbrauchen kann, brauche ich kein Chip und auch nicht das Geld auf dem Konto meines Freundes und Ostblock-Fans. Denn ich verschaffe mir auf Kosten von Ihm geldwerten Vorteil durch Einkäufe und Erlebnisse.

Oder was denkt ihr, warum mein unbekannter Müll-Tausch-Partner mir sein Kartenbörsen-Register in der Mülltonne hinterlassen hat? Doch nicht etwa, damit ich seine Sekretärin spiele für seine heimlichen Affairen…

(orkix)


Tipps zum Schutz gegen solche oder ähnliche Fälle:

  • Vernichtet die Mappen der Kartenbörse ordentlich, schreddert diese, zerschnippselt sie ganz klein oder zerreist und zerstreut sie.
  • Wenn die Bank euch eine neue Karte zugeschickt hat, dann will Sie entweder, dass ihr die alte Karte zerschneidet oder an die Bank zurück schickt. Weder das eine, noch das andere ist sicher. Schreddert die Karte oder zerschneidet diese wenigstens in richtig kleine Teile und wirft die Partikel verteilt in unterschiedliche Abfallbehälter.
  • Verzichtet auf die Bezahlung mit „Imprinter“ (Ritsch-Ratsch) so gut es geht, zahlt lieber Bar wenn der Betrag nicht allzu hoch ist.
  • Eure Kreditkarte ist euer Bargeld in Plastikform. Gibt eure Kreditkarte niemals aus der Hand, auch nicht im Restaurant, damit z.B. die Bedienung hinter dem Tresen am Terminal abrechnet.
  • Wenn ihr aufgefordert werdet, eure Kartendaten auf ein Bezahlformular niederzuschreiben, achtet darauf, dass der CVC2 Code nicht auf dem Formular landet. Das geschieht z.B. häufig bei Auto Vermietern im Ausland, z.B. an Flughäfen. Die Vermieter wollen nämlich die Bezahlung mit diesen Daten später online tätigen, als ob ihr am PC sitzen würdet. Die Formulare landen dann in irgend einem Aktenordner. Meist sagen die Vermieter dann, dass es anders nicht geht. Besteht darauf mit ihnen Gemeinsam die Bezahlung zu tätigen, ohne dass diese ihre CVC2 haben müssen.
Diesen Beitrag teilen:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*